FileServer Samba 3 под FreeBSD 6.2 Проблема с доступом шары

[Daemon]

creation mode
creation mask

поставить rwx на папку а creation mode (или как там) сделать r--

При таком раскладе получается "только чтение", а хочется мочь туда файлы ложить

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Daemon]

может я не совсем вкурил,,, но не тут ли надо копат:
man smb.conf

Код: Выделить всё

       force security mode (S)
          This parameter controls what UNIX permission bits  can  be  modified
          when  a  Windows  NT client is manipulating the UNIX permission on a
          file using the native NT security dialog box.

          This parameter is applied as a mask (OR'ed with) to the changed per-
          mission  bits,  thus forcing any bits in this mask that the user may
          have modified to be on. Make sure not to mix up this parameter  with
          security  mask,  which  works similar like this one but uses logical
          AND instead of OR.

          Essentially, one bits in this mask may be treated as a set  of  bits
          that,  when modifying security on a file, the user has always set to
          be on.

          If not set explicitly this parameter is set to 0, and allows a  user
          to  modify  all  the user/group/world permissions on a file, with no
          restrictions.

           Note that users who can access the Samba server through other means
          can  easily  bypass  this restriction, so it is primarily useful for
          standalone "appliance" systems. Administrators of most  normal  sys-
          tems will probably want to leave this set to 0000.

          Default: force security mode = 0

          Example: force security mode = 700

Тут тут вот только откопать не получается с таким условием

[Daemon]

И вообще то что пишу в smb.conf побоку, а chmod работает как часы.
А мне нужно к папке доступ полный а на создаваемые файлы автоматом "только чтение"

[Alex Keda]

а в каком месте пишешь?

[serge]

то что пишу в smb.conf побоку, а chmod работает как часы.

Если б samba не могла разграничивать права доступа, то и не стали б разработчики придумывать для этого специальные директивы. А уж если они есть, то значит дело не в самбе...

[serge]

Вообще уже выше была подсказка... Можешь еще так попробовать:

Код: Выделить всё

writable = yes
create mode = 555
directory mode = 555

Ну а права какие тебе нужно такие и ставь.

[Daemon]

а в каком месте пишешь?

Вот 2 папки
[Mona]
comment = PapkaMona
path = /usr/home/sharka/mona
writable = yes
valid users = DOMAIN\admin RGS-UFO\user
write list = DOMAIN\admin RGS-UFO\user
create mask = 0444
directory mask = 0777


[Nizya]
comment = PapkaNizya
path = /usr/home/sharka/nizya
writable = no
valid users = DOMAIN\admin RGS-UFO\user
write list = DOMAIN\admin
create mask = 0444
directory mask = 0444

в mona можно писать но нельзя удалять, в nizya можно только читать- так должно быть, реально работают права только на уровне файловой системы, то что я сделал chmod

[Daemon]

есть подозрение что не работает ACL_SUPPORT With ACL support в самбе, хотя такую опцию точно включал, как это можно проверить?

[dikens3]

есть подозрение что не работает ACL_SUPPORT With ACL support в самбе, хотя такую опцию точно включал, как это можно проверить?

log level = 1 vfs:1
syslog = 0
..
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:success = open,mkdir,rmdir,unlink,write,rename
full_audit:failure = all

Почитай какие есть уровни логирования(log level) для full_audit
Логи будут в /var/log/messages

[Daemon]

есть подозрение что не работает ACL_SUPPORT With ACL support в самбе, хотя такую опцию точно включал, как это можно проверить?

log level = 1 vfs:1
syslog = 0
..
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:success = open,mkdir,rmdir,unlink,write,rename
full_audit:failure = all

Почитай какие есть уровни логирования(log level) для full_audit
Логи будут в /var/log/messages

а подробней мона, чего где написать куда нажать, где почитать

[dikens3]

есть подозрение что не работает ACL_SUPPORT With ACL support в самбе, хотя такую опцию точно включал, как это можно проверить?

log level = 1 vfs:1
syslog = 0
..
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:success = open,mkdir,rmdir,unlink,write,rename
full_audit:failure = all

Почитай какие есть уровни логирования(log level) для full_audit
Логи будут в /var/log/messages

а подробней мона, чего где написать куда нажать, где почитать

Ну ленивые люди, хочу, но делать ничего не буду?

Код: Выделить всё

В global:
log level = 1 vfs:1
syslog = 0

Код: Выделить всё

Или в global, если на все шары нужно, или в саму шару
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:success = open,mkdir,rmdir,unlink,write,rename
full_audit:failure = all 

vfs:(0,1,2,10) наверное могут быть. 10 максимум.

[serge]

Если в Nezya нельзя писать, то какой смысл для нее ставить маску на создание файлов и директорий?

Код: Выделить всё

writable = no
create mask = 0444 
directory mask = 0444

реально работают права только на уровне файловой системы

Что именно не работает? Что работает?

[Daemon]

есть подозрение что не работает ACL_SUPPORT With ACL support в самбе, хотя такую опцию точно включал, как это можно проверить?

log level = 1 vfs:1
syslog = 0
..
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:success = open,mkdir,rmdir,unlink,write,rename
full_audit:failure = all

Почитай какие есть уровни логирования(log level) для full_audit
Логи будут в /var/log/messages

а подробней мона, чего где написать куда нажать, где почитать

Ну ленивые люди, хочу, но делать ничего не буду?

Код: Выделить всё

В global:
log level = 1 vfs:1
syslog = 0

Код: Выделить всё

Или в global, если на все шары нужно, или в саму шару
vfs objects = full_audit
full_audit:prefix = %u|%I
full_audit:success = open,mkdir,rmdir,unlink,write,rename
full_audit:failure = all 

vfs:(0,1,2,10) наверное могут быть. 10 максимум.

Много всего интересного пишет, вот только я в этом мало понимаю (к сожалению).
Вот например:
Mar 15 09:01:12 Server10 smbd_audit: root|192.168.0.33|sys_acl_set_file|fail (Operation not supported)|.
Mar 15 09:01:12 Server10 smbd_audit: root|192.168.0.33|fset_nt_acl|fail (Operation not supported)|.
Что это означает?

[Alex Keda]

а теперь, внимание, - вопрос ))
Поддержка ACL точно включена для файловой системы?

[Daemon]

Если в Nezya нельзя писать, то какой смысл для нее ставить маску на создание файлов и директорий?

Код: Выделить всё

writable = no
create mask = 0444 
directory mask = 0444

Это я экспаерементировал разные варианты

реально работают права только на уровне файловой системы

Что именно не работает? Что работает?

не работает
create mask = 0444
directory mask = 0444
всё равно разрешает писать и удалять
[Mona]
comment = PapkaMona
path = /usr/home/sharka/mona
# writable = yes
valid users = DOMAIN\admin DOMAIN\user
write list = DOMAIN\admin DOMAIN\user
create mask = 0777
directory mask = 077
если закоментировать write list = DOMAIN\admin DOMAIN\user то вообще никто писать и удалять не сможет, хотя стоит
create mask = 0777
directory mask = 077
И еще есть
[homes]
comment = Home Directories
read only = No
browseable = No
но в эту директорию попасть невозможно потому, что она не создаётся

[Daemon]

а теперь, внимание, - вопрос ))
Поддержка ACL точно включена для файловой системы?

В однопользовательском режиме /sbin/tunefs - aenable /
Фря сказала все Ок

[Alex Keda]

Код: Выделить всё

%more /etc/fstab | grep shares
/dev/mirror/gm0s1g      /shares ufs     rw,noatime,noexec,acls  2       2
/dev/mirror/gm1s1d      /shares/1c ufs  rw,noatime,noexec       2       2
%                                      

[Daemon]

Код: Выделить всё

%more /etc/fstab | grep shares
/dev/mirror/gm0s1g      /shares ufs     rw,noatime,noexec,acls  2       2
/dev/mirror/gm1s1d      /shares/1c ufs  rw,noatime,noexec       2       2
%                                      

э... у... хм.. простите это что?

[Alex Keda]

Код: Выделить всё

man mount

[Daemon]

Код: Выделить всё

man mount

спасибо почтитал... чем мне он может помоч?

[Alex Keda]

наверно, ничем...
наверно, и я тоже...

[Daemon]

наверно, ничем...
наверно, и я тоже...

Жаль (

[serge]

[Mona]
# writable = yes
write list = DOMAIN\admin DOMAIN\user
если закоментировать write list = DOMAIN\admin DOMAIN\user то вообще никто писать и удалять не сможет...

Логично...

И еще есть
[homes]
comment = Home Directories
read only = No
browseable = No
но в эту директорию попасть невозможно потому, что она не создаётся

Ваабще валяюсь... как вы проверяете отсутствие директории??? Если через Проводник открываете Самба Сервер и смотрите, что там есть, то, сожалею, она у вас никогда не создасться

[Daemon]

И еще есть
[homes]
comment = Home Directories
read only = No
browseable = No
но в эту директорию попасть невозможно потому, что она не создаётся

Ваабще валяюсь... как вы проверяете отсутствие директории??? Если через Проводник открываете Самба Сервер и смотрите, что там есть, то, сожалею, она у вас никогда не создасться [/quote]

хорошо задам вопрос подругому, эту директорию нужно самому создавать руками или при подключении samba создаст

[serge]

Она уже есть Это домашняя директория пользователя, путь к которой прописан в /etc/passwd. При входе на самбу с логином и паролем пользователя в проводнике появится директория названная по его логину. Содержание ее тоже, что и в его директории домашней (чаще всего она в /home находится).
Т.е. саму homes вы не видите... но если наберете полный путь к ней, то попадете в свою домашнюю диру.